我看文档上说：

如果 filename 所给出的文件是通过 HTTP POST 上传的则返回 TRUE。这可以用来确保恶意的用户无法欺骗脚本去访问本不能访问的文件，例如 /etc/passwd。

这种检查显得格外重要，如果上传的文件有可能会造成对用户或本系统的其他用户显示其内容的话。

这部分我没看明白，如果不用这个函数过滤，恶意用户如何访问本不能访问的文件？大佬能否给举例解释一下？